Tölvuþrjótar með illa taminn trójuhest

Gíslatökuforritið Wannacry sýkti um 200.000 tölvur í vikunni.
Gíslatökuforritið Wannacry sýkti um 200.000 tölvur í vikunni. AFP

Theódór Ragnar Gíslason, ráðgjafi í tölvuöryggismálum og meðstofnandi tölvuöryggisfyrirtækisins Syndis, telur mögulegt að tölvuþrjótarnir á bak við trójuhestinn Wannacry hafi sýkt mun fleiri tölvur en áætlun stóð til. Wannacry vírusinn sýkti um 200.000 tölvur í 150 löndum en líklegt er að ábyrgðaraðilarnir hafi einfaldlega misst stjórn á eigin sköpun.

Trójuhesturinn er nefnilega sjálfsviðurvær (e. self propagating) sem þýðir að hann leitast í sífellu við að sýkja aðrar tölvur í kringum sig en ýmis gögn benda til þess að tölvuþrjótarnir hafi verið óviðbúnir þeim gríðarlega fjölda tölva sem sýktist.

„Þetta sýnir sig helst í því að þeir stofnuðu einungis þrjú bitcoin-veski fyrir allar þessar árásir,“ segir Theódór en bitcoin-peningar fara á milli veskja á veraldarvefnum og fer hagnaður af Wannacry-vírusnum inn á slík veski. En ólíklegt er miðað við fjölda þeirra tölva sem sýktust að þessi þrjú veski hafi átt að sjá um ránsfenginn.

„Það kemur upp hvaða veski á að leggja inn á. Það er ekki endilega vitað hvaðamanneskja er á bak við hvert veski en það er vitað hvaða veski þetta eru,“ segir Theódór.

Theódór Ragnar Gíslason.
Theódór Ragnar Gíslason.

„Markmiðið með þessari árás var greinilega að græða peninga. Það getur verið arðbær bransi að vera tölvuglæpamaður. Þessi árás hins vegar fór yfir strikið. Það getur reynst þeim mjög erfitt að breyta þessum bitcoins í veraldlega peninga.“

Aldargömul aðferð uppfærð

Að sögn Theódórs líkist Wannacry-vírusinn trójuhestum sem tölvuþrjótar notuðu mikið fyrir rúmum 10 árum nema nú með viðbættu gíslatökuforriti (e. ransomware). Gíslatökuforritið ferðast þannig hratt á milli véla með trójuhestinum sem hefur það að markmiði að sýkja sem flesta.

„Þetta þýðir að tölva, með óuppfærðan hugbúnað, gæti smitast á opnu neti á kaffihúsi. Tölvan síðan tengist innra neti á vinnustað og þá fer vírusinn af stað og reynir að smita allar nærliggjandi tölvur.“

Hann segir slíka trójuhesta hafa verið vinsæla á árum áður hjá tölvuþrjótum en nú er um uppfærða útgáfu að ræða.

„Þetta dreifir sér eins og vírusarnir í gamla daga. Svona trójuhestar hafa komið upp oft áður en þetta var mikið í gangi í kringum 2007. Munurinn á þessum trójuhesti og þeim, er að þessi skilur eftir sig gíslatökuforrit og gíslatökuforritið eyðileggur.“

Íslendingar auðveld bráð

Samkvæmt rannsóknum og öryggisprófunum Syndis er um það bil helmingur allra tölva á Íslandi með öryggisveikleika vegna óuppfærðs hugbúnaðar.

Syndis framkvæmdi öryggisprófun með því að láta reyna á veikleika í hugbúnaði á tölvum á Íslandi og voru niðurstöðurnar sláandi.

„Við tókum úrtak af 743 tölvum þar sem við gátum mælt hugbúnaðarstjórnun með tillit til öryggisuppfærslna og þetta er staðan eins og hún er í dag. Úr þessu sjáum við 321 tölvu með hugbúnað keyrandi með þekktum öryggisveikleikum. Næstum helmingur, eða 43% er með einhvern þekktan öryggisveikleika, sem er ekki nægilega gott,“ segir Theódór.

Fleiri en einn hugbúnaður

Oft var að finna tölvur með fleiri en einn hugbúnað óuppfærðan en Java var það forrit sem flestir Íslendingar höfðu ekki uppfært.

Á eftir Java komu óuppfærðir netvafrar eins og Internet Explorer, Google Chrome, Firefox og Safari.

Athygli vekur einnig að mikið af óuppfærðum hugbúnaði hjá Íslendingum eru margmiðlunarspilarar s.s. VLC, Windows Media Player, Flash, Quicktime og Shockwave.

Theódór segir niðurstöðurnar sýna hversu viðkvæmir Íslendingar eru fyrir trójuhestum og gíslatökuforritum eins og Wannacry

„Trójuhesturinn Wannacry nýtir sér einn tiltekinn veikleika, en allir veikleikar eru háðir því að einstaklingar hafa ekki uppfært hugbúnaðinn sinn.“

Nánar um málið
í Morgunblaðinu
Áskrifendur:
Nánar um málið
í Morgunblaðinu
Áskrifendur:
Fleira áhugavert
Fleira áhugavert
Loka